O que é quishing e como se proteger?

O que é quishing?

Quishing é um tipo de ciberameaça que combina técnicas tradicionais de phishing com a tecnologia de códigos QR. O termo é a junção entre "QR code" e "phishing".

Nos ataques de quishing, os cibercriminosos inserem URLs maliciosas nos QR codes. Quando as vítimas escaneiam esses códigos, elas são redirecionadas para sites maliciosos de phishing e disseminação de malware projetados para induzir as pessoas a compartilhar dados pessoais e até mesmo fazer pagamentos.

Os ataques de quishing são um tipo muito nocivo de golpe de código QR porque são facilmente acessíveis e usam uma tecnologia amplamente difundida que está ao alcance de bilhões de pessoas.

Como o quishing funciona?

Os golpes de quishing seguem essa estrutura, basicamente:

1. 1.Os cibercriminosos disseminam códigos QR com conteúdo malicioso, como links para sites nocivos que disseminam malware e são usados em golpes de phishing feitos para roubar os dados e o dinheiro das pessoas.
2. 2.As vítimas recebem esses códigos QR (pelo e-mail, WhatsApp, notificações falsas ou até mesmo de forma visível fisicamente, com os códigos QR impressos e colocados em locais de fácil acesso).
3. 3.Elas escaneiam o código QR acreditando na legitimidade dele.
4. 4.Elas são redirecionadas para um site ou app malicioso.
5. 5.No fim, elas fornecem dados pessoais ou informações sensíveis sem fazer ideia do risco que estão correndo.

Esses ataques de quishing exploram a confiança que as pessoas têm na tecnologia de QR code e a conveniência dela, já que a maioria de nós confia mais em ler um código QR do que clicar em um link, tudo com a ilusão de que o QR code tem segurança garantida e infalível.

Quais são os riscos do quishing?

Os golpes de phishing são muito nocivos e precisam ser levados a sério. Entre os diversos riscos que você corre, nós podemos listar alguns que são mais significativos e graves:

1. 1.Roubo de dados. Se você escanear um desses códigos QR maliciosos e digitar suas informações pessoais em um site falso, os golpistas vão acessar suas informações e usá-las para roubar suas contas, invadir seus dispositivos e causar prejuízos financeiros. Esses dados roubados podem ser usados em outros crimes, como extorsão cibernética e fraudes, além de serem vendidos na dark web.
2. 2.Infecção por malware. Alguns códigos QR baixam malware automaticamente para o seu dispositivo. Isso inclui vários programas maliciosos, desde spyware para monitorar suas atividades, ransomware que serve para impedir seu acesso aos seus dispositivos e arquivos até que um resgate seja pago até trojan que permite que os hackers acessem seu dispositivo.
3. 3.Perdas financeiras. Escanear códigos QR maliciosos pode gerar perdas financeiras. Além de perder seu dinheiro, você pode perder a integridade das suas próprias contas bancárias e colocar seus dados de forma que os golpistas possam usá-los em outras fraudes e táticas.
4. 4.Danos à reputação. Para empresas, cair em golpes de quishing pode resultar em vazamentos de dados dos usuários, o que pode causar perda de confiança por parte de clientes, usuários, parceiros, patrocinadores e fornecedores, gerando uma imagem pública negativa. Isso também pode gerar consequências legais, principalmente quando leis sobre proteção de dados não são respeitadas.
5. 5.Violações de privacidade. As vítimas podem perder fotos pessoais, mensagens privadas e outras informações e conteúdo sigiloso e particular armazenados no dispositivo infectado, o que pode ser usado em golpes de roubo de identidade, doxxing e extorsão.

Os tipos mais comuns de golpes de quishing

Há vários exemplos de quishing e essas são as categorias mais frequentes de golpes que envolvem essa estratégia de ciberameaça:

Falsas notificações de entrega

Esses códigos QR são enviados em mensagens enganosas sobre falsas entregas de encomendas e compras para supostamente permitir o rastreio da encomenda. Ao escanear esses códigos, as vítimas são levadas para sites de phishing.

Golpes de pagamentos e golpes bancários

Nesse tipo de scam, os golpistas enviam códigos QR para pagamentos em pix com falsas cobranças de multas bancárias ou pagamentos em geral. As mensagens geralmente têm um tom muito ameaçador e urgente, instigando a vítima a ler o código QR e fazer os pagamentos através deles.

Quishing de workplace

São golpes de phishing que usam código QR enviado para funcionários de uma empresa com falsas atualizações de segurança e de setor de TI. Ao acreditar que o conteúdo é real, as vítimas acessam o conteúdo e colocam não só os próprios dados pessoais em risco, mas toda a estrutura da empresa como um todo.

Golpes de login em apps de mídias sociais

São códigos QR enviados para as vítimas para facilitar o login em redes sociais. Ao acessar esses links via QR code, as vítimas acabam cedendo as informações de login de suas contas pessoais, permitindo que os golpistas invadam e roubem elas.

Golpes de tickets de eventos

Nesses golpes, a vítima recebe mensagens com QR code prometendo ingressos por preços mais baixos ou vantagens em shows e eventos. Esses ingressos são falsos e a vítima fica sem dinheiro e sem poder aproveitar o evento tão desejado.

Golpes de quishing com promoções e recompensas falsas

Os cibercriminosos enviam mensagens com falsas promoções e recompensas para as vítimas, tudo bom demais para ser verdade, mas também bom demais para recusar. Ao ler esses códigos QR, as vítimas correm riscos de segurança muito sérios e podem perder dados, dinheiro e até ter os dispositivos infectados com malware.

Quais as principais diferenças entre quishing e outros ataques de phishing?

Se esses golpes são tão parecidos, o que diferencia o ataque de quishing de outras formas de phishing?

Os ataques de quishing possuem várias semelhanças com os ataques de phishing, mas há alguns elementos fundamentais que servem para diferenciar essas categorias de ciberameaças.

Nos e-mails tradicionais de phishing, por exemplo, o foco geralmente é o envio de links e arquivos em anexo de forma direta, sem a intermediação de um código QR.

No phishing de SMS, o smishing, o foco também é o envio de links, já que o formato de SMS não permite a adição direta de um código QR.

Em relação ao vishing, o phishing de voz, os cibercriminosos fazem ligações diretamente para as vítimas ou usam bots para esse propósito.

E, para finalizar, o spear phishing tem como foco mensagens mais customizadas, com foco em atingir indivíduos bem específicos, diferente das outras modalidades de phishing e do quishing, que são mais genéricas e têm como objetivo atingir o máximo de pessoas.

Uma das principais diferenças entre o quishing e outras formas de phishing é que o quishing usa códigos QR, uma tecnologia confiável que conta com boa recepção por parte da maioria das pessoas e é considerada como mais segura ou até mesmo imune às vulnerabilidades que atingem links, arquivos em anexo e chamadas telefônicas.

Exemplos reais de ataques de quishing

No Brasil, os exemplos mais comuns de ataques de quishing incluem:

• Códigos QR falsos para pagamento via Pix: as pessoas acessam códigos QR que se passam por uma empresa ou serviço, mas acabam enviando dinheiro para golpistas.
• Códigos QR falsos em delivery:as vítimas recebem códigos QR com informações falsas sobre entregas e encomendas e acabam perdendo dados pessoais e dinheiro.
• Códigos QR falsos se passando pelo governo: Mensagens enviadas usando logos do governo ou se passando por instituições e órgãos estatais também são muito comuns e usam cada vez mais códigos QR.
• Códigos QR falsos em bicicletas de mobilidade: os golpistas trocam os códigos QR originais por códigos adulterados nas bicicletas de mobilidade disponíveis para locação. Ao invés de autenticar uma locação válida, as vítimas acabam acessando links maliciosos disponibilizados pelos golpistas.

Como se proteger dos golpes de quishing

Prevenir é melhor que remediar e se proteger dos golpes de quishing é melhor que ter que lidar com os prejuízos e consequências deles.

Você pode e deve tomar ações preventivas para melhorar sua segurança, como:

• Não escanear códigos QR de fontes desconhecidas ou suspeitas. Sempre que visualizar códigos QR em locais de fácil acesso ou receber esses códigos via e-mail, SMS, apps de mensagens, redes sociais ou qualquer outro meio, não leia esses códigos a menos que você tenha certeza total sobre a procedência deles.
• Verifique as informações do remetente. Se você receber um código QR via e-mail, WhatsApp ou outras fontes, confira com atenção as informações de quem enviou.
• Use um leitor de código QR que mostre a URL antes de ela ser aberta. Isso facilita identificar problemas na URL que podem ser sinais demonstrativos de que trata-se de um link nocivo.
• Sempre verifique as URLs. Dê uma olhada nas URLs antes de inserir qualquer informação ou dado pessoal.
• Mantenha seu software antivírus atualizado. Sempre baixe as atualizações de software antivírus. Isso reforça suas soluções de antivírus e permite verificações mais completas para manter seus dispositivos protegidos contra malware e outras ameaças.
• Use autenticação multifatorial nas suas contas. Sempre que houver essa opção, ative a autenticação multifatorial (MFA) para proteger suas contas. Isso cria uma camada adicional de proteção para as suas contas e exige uma etapa extra de verificação, o que defende suas contas mesmo que os criminosos consigam acessar suas informações de login.
• Cuidado com códigos QR em locais públicos. Sempre que visualizar um código QR em locais públicos ou acessíveis ao público, tome cuidado antes de ler qualquer um deles.
• Use uma VPN para proteger sua conexão. Com uma VPN, você garante criptografia de ponta para a sua conexão. Com a NordVPN, você conta com os melhores protocolos de criptografia de alto nível, além da funcionalidade de Proteção Contra Ameaças Pro™, que bloqueia links nocivos em mensagens de phishing e códigos QR maliciosos de quishing, além de verificar seus downloads para identificar malware.

O que fazer se você cair em um golpe de quishing

Se você acha que caiu em um golpe de phishing, há várias medidas que você pode tomar para reduzir ou reverter os danos:

1. 1.Desconecte-se da rede e não envie nenhum dado. Não preencha nenhum formulário, não forneça nenhum dado e interrompa sua conexão para evitar maiores danos.
2. 2.Mude suas senhas imediatamente. Troque todas as suas senhas. Use senhas fortes e únicas alternando maiúsculas, minúsculas, números e caracteres especiais. Jamais compartilhe suas senhas. Também é importante ativar a autenticação multifatorial para adicionar uma camada extra de segurança nas suas contas.
3. 3.Faça uma verificação no seu dispositivo. Use uma solução anti-malware para verificar seu dispositivo, identificar e remover conteúdo malicioso que pode estar se instalado nele.
4. 4.Entre em contato com seus provedores de pagamentos. Se você fez qualquer pagamento, entre em contato com seu banco, provedor ou qualquer outra instituição financeira para tentar reverter as transações e recuperar seu dinheiro.
5. 5.Entre em contato com o setor de TI. Se você caiu em um golpe de quishing usando um dispositivo de trabalho, notifique o departamento de TI para evitar maiores prejuízos na sua conta e na empresa.
6. 6.Registre um boletim de ocorrência. Busque as autoridades e registre um boletim de ocorrência para comunicar o crime e contar com mais apoio jurídico e legal.

Resumo: como se proteger dos golpes e táticas de quishing

Ataques de quishing e de phishing em geral contam com a desatenção e a falta de informação das vítimas. Essas estratégias dependem das ações das vítimas, seja clicar em um link, baixar um anexo, preencher um formulário ou ler um simples código QR.

Apesar de ser uma tecnologia válida e confiável, os códigos QR também são usados de forma nociva para roubar dados e dinheiro das vítimas. Então, todo cuidado é necessário mesmo ao lidar com uma tecnologia válida como a de leitura de códigos QR.

Usar uma VPN, proteger suas contas com senhas fortes e manter bons hábitos de higiene digital são pontos fundamentais para se proteger contra eses golpes e outras táticas usadas pelos cibercriminosos e golpistas.